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Baggrund 

Center for Cybersikkerhed har erfaret, at fle- 
re danske virksomheder bliver ramt af 
phishing og spear-phishing-angreb. 


Phishing vs. Spear-phishing 

Populaert beskrevet er et phishing- 
angreb et angreb, hvor der "skydes med 
spredehagl", mens et spear-phishing er 
et malrettet angreb rettet mod enkelt- 
individer. 

Succesraten for, at et spear-phishing- 
angreb lykkes er langt hpjere end for et 
almindelig phishing-angreb. 


Phishing 

En phishing-kampagne er generelt karakteri- 
seret ved, at der udsendes en meget stor 
maengde enslydende mails til en bred person- 
kreds. Hensigten er at manipulere modtager- 
ne til at abne vedhaeftede filer eller klikke pa 
indlejrede links i en fremsendt mail. 

• For angriberen er det et spprgsmal om at 
gpre de fremsendte mails tillokkende og 
umiddelbart overbevisende for modtage- 
ren. Dette sker typisk ved, at: anvende of- 
ficielle navne og logoer pa virksomheder 
og myndigheder, som er kendt i det of- 
fentlige rum. Det kan vaere banker, beta- 
lingskortselskaber, forsikringsselskaber, 
kurervirksomheder, postvaesenet m.fl. 

• mailen indeholder informationer, der er 
meget tillokkende for modtageren, eller 
kraever akut handling. 


Et andet karakteristika er, at de ondsindede 
mails ofte er formuleret pa et meget darlig 
dansk, og de danske bogstaver aepa kan vaere 
erstattet af ae, 00 og aa. 

Sadan kan en phishing-mail se ud: 

QUii# 

Du har uforloste pakken 

Vi har modtaget din pakke CT54916560DK pa 2015/09/15. Courier var ude af stand til at levere 
denne pakke til dig 

Fa og udskrive forsendelsesetiketten. og vise det pa det nasrmeste posthus for at fa din pakke. 


adresselappl 


Hvis pakken ikke er modtaget inden 20 arbejdsdage PostNord AB vil vaere berettiget til at kraeve 
kompensation fra dig - 55 kroner for hver dag i at holde. Du kan finde oplysninger om 
fremgangsmaden ved og betingelseme af pakken holde i det naermeste kontor. 

Dette er en automatisk genereret meddelelse. Klik her for at aftnelde 

Anvendelsen af Post Danmarks firmalogo er udelukkende et 
udtryk for, at logoet har vaeret misbrugt i denne phishing- 
kampagne. 

Formalet med et phishing-angreb er typisk at 
franarre modtageren fortrolige oplysning i 
form af adgangskoder, kontooplysninger eller 
engangsnpgler (f.eks. kopi af NemID n0gle- 
kort). Se ogsa www.borger.dk/sikkerpanettet 

Spear-phishing 

Et spear-phishing-angreb er malrettet en- 
keltpersoner i en organisation. Formalet kan 
vaere at hente fortrolige forretningsoplysnin- 
ger, bruger-id og adgangskoder til konti mv. 
ud af organisationen. Disse oplysninger vil sa 
- sammen med en mulig infektion af modta- 
gerens computer, tablet eller mobiltelefon - 
kunne anvendes i forbindelse med et decide- 
ret cyber-angreb mod organisationen. 

Et typisk spear-phishing-angreb udsendes 
ofte kun til fa udvalgte personer, og for an¬ 
griberen vil det normalt kraeve en vis rekog- 
noscering at sikre, at den fremsendte mail 
virker relevant, overbevisende og tillidsvask- 
kende. 
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En spear-phishing mail er typisk karakterise- 

ret ved, at: 

• den fremsendte mail indeholder informa- 
tioner, som kun fa personer burde kende 
til. Dette kan for eksempel vaere om speci- 
fikke arbejdsopgaver, personlige relatio- 
ner eller - forhold herunder private inte- 
resser og pkonomiske forhold. 

• oplysningerne kan typisk vaere hentet fra 
sociale medier som Facebook eller Linked- 
In eller virksomhedens hjemmeside. 

• mailen er udformet saledes, at den tilsyne- 
ladende kommer fra en trovaerdig afsen- 
der i modtagerens egen organisation eller 
fra en kendt, trovaerdig samarbejdspart- 
ner. 

• sproget i mailen er godt formuleret, og 
kan vaere pa engelsk. 

• der ikke optraeder trusler eller pa anden 
vis opfordring til presserende handlinger. 

Billede nederst viser hvordan en spear- 

phishing-mail kan se ud. 


Det ma antages, at angriberen har afdaekket, 
at modtageren er involveret i en ansaettel- 
sesproces, og at han i den forbindelse samar- 
bejder med en Anne Andersen, der objektivt 
set godt kan have sendt modtageren sin vur- 
dering af anspgningskandidaterne. Nar mod¬ 
tageren i dette tilfaelde klikker pa den vedlag- 
te Excel-fil inficeres hans computer. 

En npjere kontrol - f.eks. en telefonopring- 
ning til Anne Andersen - vil afslpre, at den 
pagaeldende mail er afsendt af en ukendt 
tredjepart. 

Uafhaengig af om der er tale om en phishing 
eller en spear-phishing mail er formalet at 
lokke ofret til at klikke pa en vedhaeftet fil 
eller trykke pa et indlejret link, hvorved mod¬ 
tagerens enhed potentielt bliver inficeret 
med malware. 

Center for Cybersikkerhed har konstateret, at 
spear-phishing-angreb ofte lykkes pa trods af, 
at organisationer i en vis udstraekning allere- 
de har garderet sig imod spam mails og vi- 
rusangreb. 


d A 

O * * 1 * 

Rt. Kane da^r1il].Db TA 4$ - 


IMMtHff UMIfl 


■ A Jqnoru 

Uenmtt 

- Bf r Vijr Y\c* rtKnfl J5j H(rt . 

Ell alle w 

Til (hff 

^ Tuffl-4>AfrM - 

Vd 

Hivir 

Hurliflt Era Ei 

Fra: 

T* 

£■= 

Aiyw Ancfrrsan 

RC CingiMcrtaljrt W5 


-JMHJdtltlSf irj^flmrrTS+S.FFHllJKej 

Som aftalt framsendes minvurdenngaf fcand idafterne, 

/K 


3/10 








Det er svaert - og til tider umuligt - at gardere 
sig 100 % imod et velgennemf0rt spear- 
phishing-angreb. Men en efterlevelse af Top 
4-sikringsforanstaltningene fra vejledningen 
"Cyberforsvar der virker" vil i betragtelig grad 
reducere risikoen for, at hackere far held 
med angrebet. Men disse sikrings- 
foranstaltninger bpr ikke sta alene. 

Organisationen bpr satse pa en raekke foran- 
staltninger, der for eksempel struktureres ud 
fra de faser, et spear-phishing-angreb nor- 
malt gennemgar. Saledes kan sikkerhedsfor- 
anstaltninger etableres ved, at: 

1. blokere brugernes adgang til skadeli- 
ge links, vedhaeftede filer mv. ved at 
forhindre, at mailen kommer frem til 
brugeren. 

2. blokere brugernes mulighed for at ak- 
tivere det skadelige indhold. 

3. begraense skaden, hvis brugeren fak- 
tisk aktiverer skadelig links, vedhaef¬ 
tede filer mv. 

4. ivaerksaette et beredskab, hvis skaden 
er sket. 

Disse tiltag vil blive beskrevet i det fplgende. 


Blokering af adgangen til skadeligt indhold 



Generelt har organisationer anvendt spam- 
og virusfiltre i en raekke ar, og det er i dag 
vaerktpjer, der er accepteret af medarbejder- 
ne. Disse filtre er i udstrakt grad baseret pa 
mpnstergenkendelse. Mails skannes, og hvis 
der i indholdet eller de vedhaeftede filer fin- 
des et match i forhold til et allerede identifi- 
ceret virusmpnster, en specifik sprogbrug, 
typen af de vedhaeftede filer mv., vil den pa- 
gaeldende mail blive sat i karantaene. I relati¬ 
on til filtyper har specielt .exe filer i lang tid 
vaeret upnskede som vedhaeftning, men det 
har ogsa vaeret muligt at indlejre eksekverbar 
kode i gaengse programmer, som blandt an- 
dre Excel, Word, Adobe Reader. 

Man b0r endvidere overveje en blokering for 
modtagelse af .zip, .rar og .scr filer, fordi dis¬ 
se traditionelt set ofte anvendes ifm. speci- 
fikke angreb. Endvidere er det ofte kun en 
begraenset kreds af brugere, der har behov 
for at modtage disse vedhaeftninger. 


Top 4-sikringsforanstaltningene fra vejledningen "Cyberforsvar der virker": 

• Opdater programmer, f.eks. Adobe Reader, Microsoft Office, Flash Player og Java, med seneste sik- 
kerhedsopdateringer (klassificeret som hpjrisiko) inden for to dage. 

• Opdater operativsystemet med seneste sikkerhedsopdateringer (klassificeret som hpjrisiko) inden 
for to dage. Undga Windows XP eller tidligere. 

• Begraens antallet af brugerkonti med domaene- eller lokaladministratorprivilegier. Disse brugere bpr 
anvende separate uprivilegerede konti til e-mail og websurfing. 

• Udarbejd positivliste over godkendte programmer for at forhindre kprsel af ondsindet eller upnsket 
software. 
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Problemet er imidlertid, at angriberne ogsa 
har kendskab til disse filtre, og de tilpasser 
deres angreb, sa de ikke fanges af filtrene. I 
relation til filtyper kan dette f.eks. ske ved, at 
man omdpber eller komprimerer ("zipper") 
den vedhaeftede fil en eller flere gange eller 
asndrer navnet pa filtypen, sa et simpelt filty- 
pecheck omgas. Desvaerre vil disse forspg pa 
omgaelse i visse tilfaelde fpre til, at de frem- 
sendte mails kommer igennem til brugeren. 
Anvender man i stedet en kontrol i filtret, der 
i stprre grad analyserer indholdet i de ved¬ 
haeftede filer, sa vil risikoen for, at de pagael- 
dende mails slipper igennem, vaere mindre. 

Da antallet af potentielt skadelige filtyper er 
konstant voksende, kan man som alternativ 
til denne metode (black-listing) overveje, om 
man i stedet bpr anvende en liste over god- 
kendte filtyper (white-listing). White-listing 
understpttes af langt de fleste produkter og 
vil med stor sandsynlighed vaere nemmere at 
administrere end en blacklist. 

Mange spamfiltre anvender i dag ogsa black¬ 
listing af domaener, saledes at mails afsendt 
fra specifikke domaener blokeres. Der eksiste- 
rer en raekke tjenester pa nettet, hvor organi- 
sationer kan abonnere pa blacklister over 
domaener, der erfaringsmaessigt er skadelige. 
Metoden er effektiv, men kan ogsa have den 
uheldige konsekvens, at haederlige organisa- 
tioner kan fa deres domaene blacklistet ved 
en fejl. Herved kan organisationer blive af- 
skaret fra at kommunikere via mails til deres 
samarbejdsparter. 

Med hensyn til begraensningen af adgang til 
links i mails, der fprer til, at modtagerens 
enhed inficeres, sa skal denne begraensning 
sikre imod malware indlejret i web-sider, 
bannere, reklamer, billeder mv. 


For at impdega risikoen for, at en bruger kan 
tilga skadeligt indhold via et link i en modta- 
get mail, er der fplgende muligheder for sik- 
kerhedsforanstaltninger: 

• Styring via etablerede politikker og ret- 
ningslinjer for brug af mail og internettet, 
hvor organisationens forventninger til 
brugerenes adfaerd beskrives. Foranstalt- 
ningen kan ikke sta alene. 

• Fjernelse af alle hyperlinks i indkommende 
mails. Dette kan f.eks. ske i et antivirus fil¬ 
ter. Et sadan tiltag vil af mange blive op- 
fattet som saerdeles restriktivt, hvorfor 
Ipsningen ikke er saerligt udbredt. Bloke¬ 
ring af legitim kommunikation vil ogsa ju- 
ridisk kunne udgpre et alvorligt problem. 

Organisationen bpr altid fplge etableringen af 
sikkerhedsforanstaltninger op med uddan- 
nelse og oplysningskampagner rettet mod 
organisationens medarbejdere. Herved kan 
man skabe den npdvendige forstaelse af, 
hvorfor organisationen har etableret de sik¬ 
kerhedsforanstaltninger, der begraenser bru- 
gernes muligheder. 


Blokering af aktivering 



Hvis fprste sikringsniveau fejler og brugeren 
pa trods af etablerede filtre og white- eller 
blacklister far adgang til links til eller filer 
med skadeligt indhold, hvilke muligheder har 
organisationen sa for at blokere brugerens 
aktivering af det skadelige indhold? 

Mulighederne er pa dette niveau relativt be- 
graensede, og derfor handler det i hpj grad 
om at pavirke brugerens adfaerd i relation til, 
hvorledes modtagne mails skal handteres. 
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Organisationen skal i stedet uddanne bruger- 
ne i god adfaerd i forbindelse med mailhand- 
tering. Center for Cybersikkerhed anbefaler, 
at ledelsen sikrer, at alle medarbejdere ud- 
dannes i hvordan de opdager de upnskede 
mails. Dette b0r ske gennem generel oplys- 
ning og gennemfprelse af praktiske 0velser 
hvor medarbejderen konfronteres med for- 
skellige eksempler pa ondsindede mails. Sidst 
i denne vejledning er der vist et eksempel pa, 
hvordan man afslprer sadanne mails, men 
mange andre offentlige og private organisa- 
tioner, herunder Digitaliseringsstyrelsen, 
SKAT og Nets har lignende vejledninger pa 
nettet. 

Ledelsen b0r endvidere sikre, at der fplges 
op, hvis en medarbejder gentagne gange har 
fejlhandteret upnsket mails eller ignoreret 
advarsler (se nedenstaende eksempel), der 
kan blive vist nar brugeren klikker pa en ved- 
haeftet fil eller bespger en hjemmeside pa 
nettet. 



Det er samtidig vigtigt at opretholde en sund 
sikkerhedsadfaerd, der sikrer, at brugerne 
indrapporterer modtagne phishing-mails, sa 
it-organisationen kan advare resten af orga¬ 
nisationen og den organisation eller myndig- 
hed, som bruges som uvidende afsender. 


Ligeledes b0r it-afdelingen/den juridiske af- 
deling vaere behjaelpelige med at verificere 
eventuelle domaener, f.eks. hos DK Host- 
master. For domaener under .dk b0r man 
vaere ekstra mistaenksom, hvis et whois- 
opslag viser, at der er tale om en udenlandsk 
ejer, da valideringen af udenlandske domae- 
neejere er begraenset og usikker. 

Der kan ogsa etableres tekniske foranstalt- 
ninger, der kan 0ge sikkerheden i netop den¬ 
ne fase af haendelsesforlpbet. Anvendelse af 
domaene-blokeringer i en intern DNS-server 
(DNS Sink-hole) vil betyde, at alle forspg pa at 
tilga indhold pa erkendte problematiske do¬ 
maener fejler, hvis brugeren trykker pa et link 
til disse i en mail. 


Et Sink-hole er en standard DNS-server, 
der er konfigureret til at uddele ikke 
routebare IP-adresser for domaener, der 
er registreret pa DNS-serveren som upn¬ 
skede. Herved vil en intern computer 
afskaeres fra at bespge hjemmesider 
under disse domaener. 

Jo hpjere op i DNS-hierarkiet, der bloke- 
res, jo flere hjemmesider vil der blokeres 
adgang til. 

Anvendelsen af et DNS-Sink-hole skal ske 
sammen med en styring af de interne 
computeres adgang til DNS-opslag. I 
modsat fald vil et DNS-Sink-hole ikke 
have nogen effekt. 


Blokeringen af adgangen kan ogsa implemen- 
teres i savel firewall som proxyservere, som 
brugernes trafik passerer igennem. Afhaengig 
af den konkrete installation kan en sadan 
Ipsning vaere mere eller mindre omkostnings- 
kraevende i forhold til hvor mange ressour- 
cer, der er npdvendige for at holde Ipsningen 
ajour og dermed sikker. 
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Begraens skaden ved aktivering 

Beredskab 
narskaden 
er sket 

! 

Haendelsesforl0b 

Hvis medarbejderen pa trods af de tidligere 
beskrevne foranstaltninger alligevel bevidst 
eller ubevidst aktiverer et link til eller en fil 
med skadeligt indhold, er det vigtigt, at der er 
etableret sikringsforanstaltninger, der for- 
hindrer eller begraenser konsekvensen af 
denne handling. 

Samtidig er det vigtigt, at organisationen 
etablerer en kultur, hvor det er acceptabelt 
at bega fejl, saledes at den enkelte medar- 
bejder ikke er tilbageholdende med at an- 
melde, at man har klikket pa et "farligt" link, 
eller at man har abnet en vedhaeftet fil med 
problematisk indhold. Hermed kan organisa¬ 
tionen hurtigt ivaerksaette foranstaltninger 
med henblik pa at begraense en mulig skade. 


Blokering af 
adgang 


Blokering af 
aktivering 
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"Cyberforsvar der virker". Disse sikringsfor¬ 
anstaltninger anses for at vaere fundamentalt 
vigtige for beskyttelse af organisationen imod 
cybertrusler, herunder spear-phishing- 
angreb. 

I forhold til en decideret applikations-white- 
listing vil en begraensning i funktionaliteten af 
brugerens anvendte browser vaere et mindre 
restriktivt skridt pa vejen. Sadanne foran¬ 
staltninger kan medfpre, at specifikke ind- 
holdstyper ikke kan vises (f.eks. Adobe Flash 
objekter, der som regel kan blokeres uden 
store konsekvenser eller Oracle Java kode). 

Uafhaengig af om det er begraensninger i 
browseren eller en fuld applikations-white- 
listing vil det vaere organisationens ledelse, 
der skal tage stilling til, om organisationen 
som helhed kan leve med disse begraensnin¬ 
ger, eller om man pnsker en differentieret, 
centraliseret styring med dertil 0gede admi¬ 
nistrative omkostninger. 


Fplgende tekniske sikringsforanstaltninger vil 

i denne situation samtidig vaere relevante at 

implementere: 

• Opdatering af operativsystem og applika- 
tioner. 

• Applikations-white-listing, der sikrer, at 
ikke autoriserede programmer aktiveres 
pa pc'en. 

• Begraensning af brugeres privilegier lokalt 
pa pc'en samt til organisationens pvrige 
systemer og informationer. 

• Aktivering af "click-to-run" for Adobe 
Flash, Silverlight og Java, sa disse objekter 
ikke afvikles automatisk pa enheden, der 
bespger en hjemmeside. 

• Opdatering af aktiv virusbeskyttelse. 


Ligegyldig om en begraensning saettes ind i 
firewall, mail/web-filtre eller pa pc- 
platformen skal man vaere opmaerksom pa, at 
der hos nogle brugere er stor kreativitet i at 
omga begraensningerne. I nogle tilfaelde 
kommer man endvidere ud for, at legale sider 
eller legalt indhold blokeres - maske pa grund 
af et lidt for "firkantet" regelsaet. En sadan 
blokering vil juridisk kunne udgpre et pro¬ 
blem. 


Nogle af disse foranstaltninger er beskrevet i 
Center for Cybersikkerheds vejledning om 
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Beredskab hvis skaden er sket 



Hvis organisationen er blevet ramt af et 
spear-phishing-angreb, kan denne strukture- 
rede guide fplges: 


1. Inddrag de rette personer. 

• Inddrag straks topledelsen og de rele- 
vante tekniske kompetencer, herun- 
der specialister udefra, hvis organisa¬ 
tionen ikke selv rader over den for- 
npdne viden. 

2. Stands ulykken 

• Etabler et hurtigt overblik over, hvilke 
systemer og data, der er ramt, og 
hvornar det er sket. Dette kan vaere 
yderst vanskeligt, da visse typer an- 
greb netop tilstraeber at vaere sa 
"usynlige" som muligt. 

• Sluk eller isoler alle ramte systemer sa 
hurtigt som muligt. Hvis organisatio¬ 
nen er i tvivl, er det bedre at stoppe 
et system for meget end et for lidt. 

3. Iveerkseet om npdvendigt npddrift 

• Ga ud fra, at nulstilling og reetable- 
ring af systemerne kommer til at tage 
lang tid. 

• Informer organisationen om situatio- 
nen og etabler om npdvendigt npd- 
drift for kritiske systemer. 

4. Oprensning og reetablering 

• De berprte systemer startes op en- 
keltvis pa et isoleret netvaerk. 

• Foretag om npdvendigt en komplet 
reinstallation af de specifikke system¬ 


er (operativsystemer og applikatio- 
ner). 

• Indlaes konfigurationer og data fra 
sikkerhedskopier, der er blevet taget, 
fpr systemet blev inficeret. 

• Kontroller de reetablerede systemer 
og data og tag en ny sikkerhedskopi. 

• Overfpr det reetablerede system til 
produktion. 

5. Opfplgning og leering 

• Udarbejd eller opdater organisatio- 
nens politik og retningslinjer for, 
hvordan medarbejdere skal forholde 
sig til mails med vedhaeftede filer og 
sprg for, at det ofte kommunikeres ud 
i organisationen. 

• Etabler om n0dvendigt yderligere 
tekniske foranstaltninger til blokering 
af malware. 

• Vurder pa baggrund af den aktuelle 
haendelse, om den etablerede back¬ 
up-plan lever op til forventningerne. 
Indarbejd og implementer om n0d- 
vendigt eventuelle reviderede krav. 

• Gennemfpr periodiske pvelser, hvor 
medarbejdere traenes i at identificere 
og undga spear-phishing-angreb. 
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Hvorledes spotter man en (spear-)phishing-mail: 


6. Ukendt eller falsk afsender. Det er muligt at 
udarbejde en mail, hvor den synlige afsender er 
forskellig fra den virkelige afsender (simpel form 
for spoofing). Kontroller derfor de skjulte oplys- 
ninger. I Outlook kan dette g0res ved at flytte 
mark0ren over afsenderen, herved adressen pa 
afsenderen vises. Denne funktion er desvaerre ik- 
ke mulig i alle mail-klienter. 

7. Kontroler mailens egenskaber. Ved en kontrol af 
egenskaberne i mail headeren for en mail, vil det 
kunne afsl0res, hvorfra en mail er afsendt (Se ek- 
semplet pa naeste side). I Outlook kan disse op- 
lysninger findes under fanen "Filer". Bemaerk, at 
man ved et veludf0rt spear-phishing-angreb, hvor 
afsenderen selv er kompromitteret, ikke afsl0rer 
noget mistaenksomt ved denne metode. 

8. Falske hyperlinks. Hyperlinks i mailen peger pa 
andre domaener end dem, der er vist. Domaenet 
kan kontrolleres ved f.eks. i Outlook at f0re mar- 
k0ren over pa de enkelte links. Herved vises det 
bagvedliggende domaene. 

9. Underlige navne pa vedhaeftede filer. Det ses 

ofte, at phishing-mails har vedhaeftede filer, der 
er navngivet pa en made, der sl0rer den egentlige 
filtype. Eksempelvis kan dette ske ved anvendel- 
sen af mange blanktegn som i filnavnet: 
"Personaleaendringer.pdf 
.exe" 


1. Darligt sprog og stavning. Phishing-mails er ofte 
oversat automatisk eller af personer uden kend- 
skab til dansk. 

2. Opfordring til umiddelbar handling. I mange 
phishing-mails opfordres brugeren til at kontakte 
en hjemmeside eller at indsende oplysninger 0je- 
blikkeligt. Er du i tvivl, sa kontakt afsender direkte 
f.eks. via telefon og sp0rg ind til henvendelsen. 

3. Udlevering af personlige oplysninger. Ingen 
trovaerdig part vil opfordre til, at man fremsender 
personlige oplysninger i en almindelig mail. Her 
b0r man ligeledes kontakte afsender direkte, 
f.eks. via telefon, og sp0rge ind til henvendelsen. 

4. Vindere af lotteri eller overdragelse af formue. 

Denne form for phishing-mails (ogsa kaldt Nige- 
ria-breve) er havnet hos mange brugere, der i 
god tro har udleveret oplysninger og indbetalt 
penge til svindlere. Mails om ukendte lotterier el¬ 
ler lignende b0r slettes straks. 

5. Skadelige vedhaeftede filer. Aben aldrig en ved- 
haeftet fil, medmindre du er fuldstaendig klar 
over, hvad den vil indeholde. Kontakt om muligt 
den umiddelbare afsender via telefon med hen- 
blik pa en verifikation af indholdet. 
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F0lgende er et eksempel pa en phishing-mail, hvor den umiddelbare afsender ser korrekt ud, men 
hvor egenskaberne pa det angivne link (vist i mailen som " Klik her ") afslprer, at der ertale om en 
falsk mail. 


© O O 0 Certifikat Qpdatering — Indbakke 

Is ■+ 11 ^ I m i |~y~rl 


Nykredlt <- 

V Certifikat@opdatering.nykredit.dk 

29. jun. 2015 12.02 

Til: 

Certifikat Opdatering 

Kopier adresse 

Fsj til VIP 

Ny e-mail 


mitNykredit 


Faj til Kontakter 


Kaere kurnde erhverv, 

l-iuak at ocdaGene dit certifikat. 

Sag efter “mitNykredit" 



klik npr fbrisaatte. 

http: / / kootsj . webpl ays.e u/new-master-1/ BVIWC DO 01 / 


Anvendelsen af Nykredits firmalogo er udelukkende et udtryk for at logoet har vaeret misbrugt i denne phishing-kampagne. 


At der er tale om en falsk afsenderadresse "Certifikat@opdatering.nykredit.dk" afslpres ligeledes 
hvis man ser naermere pa egenskaberne i mail headeren for den specifikke mail, der i virkelighe- 
den er afsendt fra domaenet "shankeshjewellers.com". 


Content-Type: text/html 
Mime-Version: 1.0 

Return-Path: <www-data@localhost.com> 

Content-Transfer-Encoding: BASE64 
X-Original-To 

X-Php-Originating-Script: 33:x.php 

Message-Id: <201506241143.t50BhahS007395@shankeshjewellers.com> 

Delivered-To: 

Received: from shankeshjewellers.com (shankeshjewellers.com [198.211.119.72]) (using TLSvl.1 with cipher DHE-RSA-AES256-SHA (256/256 
bits)) (No client certificate requested) by cdkp02.cliche.dk (Postfix) with ESMTPS id C1A2827C5A0 for Wed, 

24 Jun 2015 13:43:37 +0200 (CEST) 

Received: from shankeshjewellers.com (localhost [127.0.0.1]) by shankeshjewellers.com (8.14.4/8.14.4/Debian-2ubuntu2.1) with ESMTP id 
t50BhaNt007396 for Wed, 24 Jun 2015 11:43:36 GMT 

Received: (from www-data@localhost) by shankeshjewellers.com (8.14.4/8.14.4/Submit) id t50BhahS007395; Wed, 24 Jun 201511:43:36 
GMT 
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